Política de Gestión de Registros de Auditoría

El registro de auditoría deberá habilitarse en todos los activos empresariales y deberá capturar, como mínimo: eventos de autenticación (éxito y fallo), cambios de autorización, inicio/apagado de sistemas y aplicaciones, acciones administrativas, acceso a datos de información Confidencial y Restringida, y cambios de configuración relevantes para la seguridad.

Las entradas de registro deberán incluir: marca de tiempo (sincronizada con fuente de tiempo autoritativa), sistema de origen, tipo de evento, identidad del usuario, dirección IP de origen, indicación de éxito/fallo y detalles relevantes.

Todos los activos empresariales deberán tener sus relojes de sistema sincronizados con las fuentes NTP autoritativas de [ORGANIZACION] con una precisión de [PERSONALIZAR: 1 segundo/1 minuto].

Todos los registros de auditoría deberán reenviarse al sistema centralizado de gestión de registros (SIEM) de [ORGANIZACION] en tiempo casi real, con una latencia de reenvío que no exceda [PERSONALIZAR: 5/15] minutos.

El sistema de registro centralizado deberá proporcionar: agregación y correlación de eventos de múltiples fuentes, capacidades de búsqueda y consulta, alertas sobre eventos de seguridad predefinidos, visualización en paneles de control y almacenamiento a largo plazo.

Se deberá mantener capacidad de almacenamiento de registros adecuada para soportar los requisitos de retención con al menos un [PERSONALIZAR: 20/30]% de margen.

Los registros de auditoría deberán protegerse contra modificación y eliminación no autorizadas.

El almacenamiento de registros deberá estar separado de los sistemas que se están monitoreando.

El acceso a los sistemas de gestión de registros deberá restringirse al personal de seguridad autorizado, con registro de todas las acciones administrativas en la propia infraestructura de registros.

Los datos de registros en tránsito deberán cifrarse. Los datos de registros en reposo deberán protegerse con controles de acceso y verificación de integridad.

Se deberán configurar alertas automatizadas para eventos relevantes de seguridad incluyendo: múltiples intentos fallidos de autenticación ([PERSONALIZAR: 5/10] fallos dentro de [PERSONALIZAR: 15/30] minutos), uso de cuentas privilegiadas, actividad administrativa fuera de horario, indicadores de compromiso conocidos y patrones de exfiltración de datos.

Las revisiones de registros de seguridad deberán realizarse al menos [PERSONALIZAR: diariamente/semanalmente] por analistas de seguridad capacitados.

Los hallazgos de la revisión de registros deberán documentarse y los incidentes identificados deberán escalarse según la Política de Respuesta a Incidentes.